Visão geral
Foi detectado um problema em vários dispositivos de intercomunicação BAS-IP. Ao aceder à interface web ou à API do dispositivo, um atacante pode obter as palavras-passe do servidor RTSP e da conta SIP do dispositivo.
A BAS-IP classifica estas vulnerabilidades como médias e recomenda que os clientes actualizem os modelos BAS-IP afectados para a versão mais recente do firmware.
Avaliação dos riscos
Um potencial adversário precisa de ter acesso à rede do dispositivo para explorar as vulnerabilidades. Um adversário necessita de credenciais para comprometer o dispositivo com êxito. O risco depende do grau de exposição do dispositivo. Os dispositivos virados para a Internet (por exemplo, expostos através do encaminhamento de portas do router) correm um risco elevado. Os produtos implantados numa rede local protegida correm um risco menor.
Atenuação dos riscos
- Recomenda-se vivamente a atualização dos modelos afectados para o firmware mais recente.
- Não é recomendável expor os dispositivos diretamente à Internet (reencaminhamento de portas).
Modelos afectados e firmware corrigido
Lista de modelos afectados:
- AV-01D
- AV-01MD
- AV-01MFD
- AV-01ED
- AV-01KD
- AV-01BD
- AV-01KBD
- AV-02D
- AV-02IDE
- AV-02IDR
- AV-02IPD
- AV-02FDE
- AV-02FDR
- AV-03D
- AV-03BD
- AV-04AFD
- AV-04ASD
- AV-04FD
- AV-04SD
- AV-05FD
- AV-05SD
- AA-07BD
- AA-07BDI
- BA-04BD
- BA-04MD
- BA-08BD
- BA-08MD
- BA-12BD
- BA-12MD
- CR-02BD
Versão do firmware corrigida:
- 3.9.2